Visión general IAM MFA

Clase 6 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM

Clase anteriorSiguiente clase

Juan Manuel Hincapié

student•

Políticas de Contraseñas

Contraseñas seguras
Longitud mínima de contraseña
Tipos de caracteres especiales
Los usuarios cambien sus propias contraseñas
Caducidad de la contraseña
Evitar reutilización de contraseñas

Autenticador multifactor o MFA

Ayuda a proteger las cuentas y los usuarios

Cómo funciona Es la suma de la contraseña conocida por el usuarios que además puede tener algunas de las políticas mencionadas anteriormente para mejorar la seguridad, pero, adicionalmente agrega un dispositivo de seguridad que es el que me permitirá acceder finalmente a la cuenta, luego de que la contraseña haya sido correcta

Beneficio Si la contraseña es robada o pirateada la cuenta NO se verá comprometida

Dispositivos para MFA Virtuales

Google Authenticator
Authy (tokens guardados en diferentes dispositivos (aplicación))

Dispositivos

YubiKey (puede almacenar usuarios Root, IAM)
Gemalto: dispositivo de llavero de hardware
SurePassID: llavero inteligente para acceder a la nube

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Mario Alexander Vargas Celis

student•

🔐 Visión General de IAM y MFA en AWS

AWS Identity and Access Management (IAM) es un servicio que te permite gestionar el acceso a los recursos de AWS de manera segura. Con IAM, puedes crear y administrar usuarios, grupos, roles y políticas para controlar quién puede acceder a qué.

✅ ¿Qué es MFA en AWS IAM?

La autenticación multifactor (MFA, Multi-Factor Authentication) agrega una capa adicional de seguridad al exigir una segunda forma de autenticación además de la contraseña. Esto reduce el riesgo de acceso no autorizado a cuentas de AWS.

💡 Ejemplo: Un atacante que roba tu contraseña no podrá acceder sin el segundo factor de autenticación.

🏗 Cómo Funciona MFA en AWS

Cuando un usuario intenta iniciar sesión: 1️⃣ Ingresa su nombre de usuario y contraseña. 2️⃣ AWS solicita un código de autenticación generado por un dispositivo MFA. 3️⃣ Si el código es correcto, el acceso es concedido.

🔹 Tipos de MFA en AWS

AWS soporta diferentes métodos de MFA:

Tipo de MFADescripciónEjemplo de DispositivoDispositivo virtual MFAUsa aplicaciones como Google Authenticator o Authy para generar códigos de 6 dígitos.📱 Móvil o TabletDispositivo MFA basado en hardwareUn dispositivo físico que genera códigos de acceso.🔑 YubiKeyMFA con clave de seguridad FIDO2Usa claves de hardware como YubiKey o Titan Security Key.🖥 USB o NFCMFA con notificación push *(Recomendado para IAM Identity Center)*Permite aprobar solicitudes en la aplicación de AWS.📲 AWS Authenticator

🔹 Cómo Configurar MFA para un Usuario IAM

1️⃣ Inicia sesión en la consola de AWS con privilegios de administrador. 2️⃣ Ve a IAM → Usuarios → Selecciona el usuario. 3️⃣ En la pestaña Seguridad, haz clic en Asignar MFA. 4️⃣ Elige un tipo de MFA (virtual, hardware, etc.). 5️⃣ Si usas un dispositivo virtual (App Authenticator):

Escanea el código QR con una aplicación de autenticación.
Ingresa dos códigos consecutivos generados por la app. 6️⃣ Guarda los cambios.

🛑 Importante: Asegúrate de guardar códigos de recuperación en caso de perder el dispositivo MFA.

🔹 Forzar el Uso de MFA en IAM con una Política

Para exigir MFA a los usuarios IAM, puedes crear una política de IAM:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

📌 Qué hace esta política:

Deniega acceso a todos los recursos si el usuario NO tiene MFA habilitado.
Se aplica automáticamente cuando el usuario inicia sesión sin MFA.

🔹 Cómo aplicarla: 1️⃣ En IAM, ve a Políticas → Crear política. 2️⃣ Usa la pestaña JSON e ingresa el código anterior. 3️⃣ Asigna la política a un grupo o usuario.

🎯 Beneficios de Habilitar MFA en AWS

✔ Mayor seguridad: Evita accesos no autorizados incluso si la contraseña es comprometida. ✔ Cumplimiento de normativas: Requerido en auditorías de seguridad y estándares como PCI-DSS. ✔ Protección contra ataques: Reduce el riesgo de phishing y fuerza bruta.

🔐 Conclusión Habilitar MFA en IAM es una de las mejores prácticas de seguridad en AWS. Reforzar el acceso con autenticación de dos factores ayuda a proteger los recursos críticos y reducir el riesgo de accesos no autorizados. 🚀

Angel Hernandez

student•

Increible lo mucho que el profe ha mejorado dando clases, se nota que sabe mucho sobre AWS y ahora da las clases como un verdadero Pro! Este curso practico me esta gustando bastante!

Victor Rodriguez

student•

La activación y el uso de MFA, tiene costo?

Enrique Alexis Lopez Araujo

student•

Hola victor, buenos dias! No el uso de MFA no tiene ningun costo dentro de AWS, te dejo mas documentacion https://aws.amazon.com/es/iam/features/mfa/

Gabriela Ramírez

student•

Yo uso uno que se llama Duo Mobile. hasta ahora me funciona bien

Jhon Freddy Tavera Blandon

student•

¿Qué es MFA?

La Autenticación Multifactor (MFA) es un mecanismo de seguridad que requiere que los usuarios se autentiquen utilizando más de un método de autenticación. MFA añade una capa adicional de protección al combinar algo que el usuario sabe (como una contraseña) con algo que el usuario tiene (como un dispositivo MFA).

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

El tema de seguridad dentro de AWS es muy importante
Existen políticas de seguridad que debemos implementar
Implementar el MFA es indispensable para proteger la cuenta
Existen varias maneras de aplicar utilizar MFA, en estos momentos usamos Authy